Ley Orgánica de Protección de Datos (LOPDGDD)
La Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), es la norma española que adapta el Reglamento General de Protección de Datos (RGPD) de la UE al ordenamiento jurídico español. Se publicó en el BOE el 6 de diciembre de 2018 y es de aplicación obligatoria para cualquier organización que trate datos personales de ciudadanos españoles o europeos.
¿Qué es la Ley Orgánica de Protección de Datos?
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) es la norma española que completa y adapta el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD) al marco jurídico nacional.
Se publicó en el Boletín Oficial del Estado el 6 de diciembre de 2018 y derogó la anterior LOPD de 1999 (LO 15/1999). Su entrada en vigor se produjo al día siguiente de su publicación, aunque muchas de sus disposiciones venían precedidas por la aplicación directa del RGPD desde el 25 de mayo de 2018.
Relación entre LOPDGDD y RGPD
El RGPD es un reglamento europeo de aplicación directa: no necesita ser transpuesto, pero sí permite a los Estados miembros adoptar normas propias que lo desarrollen, concreten o matizen en determinados ámbitos. Eso es exactamente lo que hace la LOPDGDD:
- Concreta plazos no fijados por el RGPD (p. ej., el plazo máximo para resolver solicitudes de ejercicio de derechos).
- Regula el tratamiento de datos de menores: fija la edad de consentimiento en 14 años (el RGPD la deja entre 13 y 16).
- Añade el Título X sobre garantías de los derechos digitales, innovación española que va más allá del RGPD (derecho a la desconexión digital, derecho al olvido en redes sociales, derecho a la portabilidad).
- Designa a la AEPD (Agencia Española de Protección de Datos) como autoridad de control nacional.
Ámbito de aplicación
La LOPDGDD — y el RGPD que la acompaña — se aplica a cualquier organización pública o privada que trate datos de personas físicas identificadas o identificables, siempre que:
- El responsable o encargado esté establecido en la UE, o
- El tratamiento se dirija a personas en la UE (venta de productos o servicios, o seguimiento del comportamiento).
Están excluidos los tratamientos por personas físicas en el ámbito exclusivamente personal o doméstico.
Estructura de la LOPDGDD
La ley se organiza en diez títulos:
| Título | Contenido |
|---|---|
| I | Disposiciones generales y principios del tratamiento |
| II | Bases de legitimación del tratamiento |
| III | Derechos de las personas |
| IV | Disposiciones aplicables a tratamientos concretos |
| V | Responsable y encargado del tratamiento |
| VI | Transferencias internacionales |
| VII | Autoridades de protección de datos |
| VIII | Procedimientos en caso de posible vulneración |
| IX | Régimen sancionador |
| X | Garantía de los derechos digitales |
Sanciones por incumplimiento
El RGPD establece dos niveles de sanción que la AEPD puede aplicar:
- Infracciones graves: hasta 10 millones de euros o el 2 % del volumen de negocio anual global (el mayor de los dos).
- Infracciones muy graves: hasta 20 millones de euros o el 4 % del volumen de negocio anual global (el mayor de los dos).
La LOPDGDD añade la graduación española y regula el procedimiento de la AEPD para tramitar denuncias y sanciones.
Obligaciones principales para empresas y autónomos
Cualquier empresa u organización que trate datos personales debe cumplir, entre otras, estas obligaciones:
- Registro de actividades de tratamiento: documento interno que describe qué datos se tratan, con qué finalidad, durante cuánto tiempo y quién accede.
- Base de legitimación: toda recogida de datos debe tener una base jurídica válida (consentimiento, contrato, obligación legal, interés legítimo, etc.).
- Información y transparencia: informar a los interesados mediante cláusulas de privacidad claras.
- Derechos de los interesados: facilitar el ejercicio de los derechos ARCO-POL (acceso, rectificación, cancelación/supresión, oposición, portabilidad, limitación del tratamiento y oposición al perfilado automatizado).
- Delegado de Protección de Datos (DPO): obligatorio para ciertas categorías de entidades (administraciones públicas, entidades que traten datos a gran escala o datos sensibles).
- Evaluaciones de impacto (EIPD): obligatorias cuando el tratamiento pueda suponer alto riesgo para los derechos y libertades.
El BOE y la LOPDGDD
Las publicaciones en el BOE relacionadas con protección de datos son frecuentes. Las más habituales incluyen:
- Resoluciones sancionadoras de la AEPD: publicadas cuando el infractor no es una administración pública o cuando la resolución lo exige.
- Circulares y guías de la AEPD: aunque tienen alcance orientativo, informan de los criterios de interpretación aplicables.
- Normativa sectorial: reales decretos, órdenes ministeriales y leyes sectoriales que incorporan o desarrollan aspectos de la LOPDGDD para sectores específicos (sanidad, telecomunicaciones, sector financiero).
Puedes buscar las publicaciones más recientes de la AEPD en el BOE con la herramienta de búsqueda inteligente de BOE Hoy.
Derechos digitales del Título X
El Título X de la LOPDGDD es pionero en Europa. Reconoce derechos específicos en el entorno digital:
- Derecho al olvido en buscadores de internet y en redes sociales: posibilidad de solicitar la desindexación o eliminación de información desactualizada o inexacta.
- Derecho a la portabilidad en redes sociales: recibir los contenidos propios en formato descargable y transferirlos a otro servicio.
- Derecho a la desconexión digital en el ámbito laboral: los trabajadores tienen derecho a no responder comunicaciones fuera de su jornada.
- Derechos digitales en la negociación colectiva: los convenios colectivos podrán establecer garantías adicionales de los derechos digitales.
Conoce más en la guía sobre normativa sectorial en el BOE.
Diferencias con conceptos similares
La LOPD de 1999 fue la primera ley española de protección de datos, derogada por la LOPDGDD en 2018. La LOPDGDD no sustituye al RGPD — ambas conviven y se aplican conjuntamente —, pero la LOPDGDD prima sobre el RGPD en los ámbitos donde la UE permite margen nacional. La AEPD es la autoridad que vela por el cumplimiento de ambas normas en España.
Tabla resumen
| Norma | Ámbito | Relación |
|---|---|---|
| RGPD (UE 2016/679) | Europeo (aplicación directa) | Base: establece los principios y obligaciones fundamentales |
| LOPDGDD (LO 3/2018) | Nacional español | Complementa: adapta, concreta y amplía el RGPD en España |
| LOPD 1999 (LO 15/1999) | Nacional español (derogada) | Predecesora: derogada por la LOPDGDD |
Preguntas frecuentes
¿Qué es la ley de protección de datos en España?
En España la protección de datos se rige por dos normas: el RGPD europeo (Reglamento UE 2016/679), de aplicación directa, y la LOPDGDD (Ley Orgánica 3/2018), que lo adapta al ordenamiento español, fija la edad de consentimiento en 14 años y añade el catálogo de derechos digitales del Título X.
¿A quién se aplica la LOPDGDD?
Se aplica a cualquier persona física o jurídica, pública o privada, que trate datos personales de personas físicas. Eso incluye empresas, autónomos, asociaciones, partidos políticos y administraciones públicas. Quedan fuera los tratamientos estrictamente personales o domésticos.
¿Cuáles son las sanciones por incumplir la ley de protección de datos?
Las sanciones las impone la AEPD siguiendo los límites del RGPD: hasta 10 millones de euros (o 2 % del volumen de negocio) para infracciones graves y hasta 20 millones (o 4 % del volumen de negocio) para infracciones muy graves. La LOPDGDD establece la tipificación española de infracciones leves, graves y muy graves.
¿Dónde se publicó la LOPDGDD en el BOE?
La Ley Orgánica 3/2018 se publicó en el BOE el 6 de diciembre de 2018 (BOE núm. 294). Puedes acceder al texto íntegro y consolidado en boe.es o buscarlo directamente con BOE Hoy.
¿Qué diferencia hay entre LOPD, LOPDGDD y RGPD?
LOPD (1999) fue la primera ley española de protección de datos, ya derogada. RGPD es el reglamento europeo vigente desde 2018, de aplicación directa en toda la UE. LOPDGDD es la ley orgánica española que adapta el RGPD, amplía los derechos digitales y designa a la AEPD como autoridad de control. Las tres conviven en el ámbito temporal en que estuvieron vigentes; hoy rigen el RGPD y la LOPDGDD.